在Linux上最好的沙盒Apache方法

当你运行一个完整的沙箱环境时，Chroot监狱真的不安全。 攻击者可以完全访问内核功能，例如可以挂载驱动器来访问“主机”系统。

我建议你使用linux-vserver。 你可以看到linux-vserver是一个改进的chroot监狱，里面有一个完整的debian安装。 由于它在一个单独的内核中运行，所以代码执行本身就是一个代码。

我个人使用Linux的虚拟服务器分离我的所有服务，只有几乎没有明显的性能差异。

查看linux-vserver wiki来获取安装说明。

问候，丹尼斯

我第二什么xardias说，而是推荐OpenVZ 。

它与Linux-Vserver类似，所以你可能想要比较这两个路线。

我使用代理http服务器（ nginx ）设置了一个web服务器，然后将流量委托给不同的OpenVZ容器（基于主机名或请求的路径）。 在每个容器中，你可以设置Apache或任何其他网络服务器（例如nginx，lighttpd，..）。 这样你就没有一个Apache的一切，但可以创建一个容器的任何子集的服务（如每个项目）。

OpenVZ容器可以很容易地完全更新（“为我在$（vzlist）;做vzctl执行apt-get升级;完成”）

不同容器的文件存储在硬件节点中，因此您可以通过SFTP将这些文件很容易地存取到硬件节点中。 除此之外，你可以添加一个公有IP地址给你的一些容器，在那里安装SSH，然后直接从容器访问它们。 我甚至听说过SSH代理，所以即使在这种情况下，额外的公共IP地址也可能是不必要的。

您可以随时在虚拟机内部进行设置并保留一个虚拟机的映像，以便在需要时可以重新展开。 这样，服务器就从您的实际计算机中抽象出来，并且虚拟机中包含任何病毒等等。 正如我之前所说，如果你保留一个图像作为备份，你可以很容易地恢复到以前的状态。

为了确保这一点，CHRoot Jails几乎不是一个好主意，尽管意图很容易打破，事实上我已经意外地看到用户完成这个任务！

没有冒犯，但如果你没有时间看安全补丁，并保持安全问题的意识，你应该关心，不管你的设置。 另一方面，你正在考虑这些问题的事实，使你与其他99.9％的这类机器的所有者分开。 你走在正确的道路上！

我感到惊讶的是，没有人提到mod_chroot和suEXEC ，这是你应该从头开始的基本的东西，而且很可能是你唯一需要的东西。

你应该使用SELinux。 我不知道它在Debian上的支持程度如何; 如果不是，只需在VM中安装一个启用了SELinux的Centos 5.2。 不应该做太多的工作，比任何业余chroot更安全，这是不是大多数人认为是安全的。 SELinux有难以管理的声誉，但如果你只是运行一个网络服务器，这不应该是一个问题。 你可能只需要做一些“sebool”让httpd连接到数据库，但是这是关于它的。

虽然以上都是很好的建议，我也建议添加一个iptables规则来禁止意外的传出网络连接。 由于大多数自动化Web攻击所做的第一件事就是下载其余的有效负载，防止网络连接可能会降低攻击者的速度。

有些规则类似于这些可以使用（请注意，您的Web服务器可能需要访问其他协议）：iptables –append OUTPUT -m所有者–uid-owner apache -m状态–state ESTABLISHED，RELATED –jump接受iptables – -append OUTPUT -m owner –uid-owner apache –protocol udp –destination-port 53 –jump ACCEPT iptables –append OUTPUT -m owner –uid-owner apache –jump REJECT

如果使用Debian，debootstrap是你的朋友加上QEMU，Xen，OpenVZ，Lguest或其他许多人。

制作一个虚拟机。 尝试类似vmware或qemu

你真的想要解决什么问题？ 如果你关心那个服务器上的东西，你需要防止入侵者进入。 如果您关心入侵者如何处理您的服务器，则需要限制服务器本身的功能。

这些问题都不能通过虚拟化解决，而不会严重破坏服务器本身。 我认为你的问题的真正答案是这样的：

1. 运行一个操作系统，为操作系统更新提供一个简单的机制。
2. 使用供应商提供的软件。
3. 经常备份一切。